Ransomware er en særlig form for cyberkriminalitet. Ordet siger det hele: gidseltagning. Benchmark-undersøgelsen om cybersikkerhed, som Conscia har gennemført i samarbejde med det kommercielle markedsundersøgelsesfirma The Blue Hour, viser, at ransomware betragtes som den største trussel (82%).

I mellemtiden viser flere undersøgelser om ransomware tallene for 2021. Konklusionen er, at løsesumskravene bliver ved med at stige, og det samme gør betalingerne. Betyder det, at organisationer er prisgivet ransomware-"bander"? Bestemt ikke! Selv om vi ikke ser dem, indsamles og deles der en masse værdifuld information om de taktikker og teknikker, som disse "bander" bruger.

For eksempel ved vi, at 35 nye ransomeware-"bander" blev tilføjet i 2021. [1] Nogle grupper lytter til misvisende navne som Hello Kitty og Robinhood. Kort sagt er de grupper af kriminelle, der har fundet en lukrativ forretning i ransomware. Faktisk så "succesfuld", at Ransomware as a Service (RaaS) bliver tilbudt af kriminelle til kriminelle. Deres aktiviteter forventes kun at stige i de kommende år.

Fakta og tal på et øjeblik

Denne vækst var allerede mærkbar sidste år. Antallet af ofre steg med 85%, hvor Nord- og Sydamerika var det største mål med 60%. Efterfulgt af EMEA med 31% og Asien og Stillehavsområdet med 9%. Det krævede løsesumbeløb steg også med 144% til 2,2 millioner dollars. Det beløb, der til sidst blev betalt, var i gennemsnit omkring 500.000 dollars; 78% højere end i 2020. [1] Af de organisationer, der er ramt af ransomware, fortsætter 58% med at betale. 14% betaler mere end én gang. 41% kom sig over angrebet inden for en måned, 61% inden for tre måneder.

Ifølge Maarten Werff, Solution Consultant Cybersecurity hos Conscia, er det en øjenåbner, at de ofte bliver betalt for det. "Det er en stadig mere moden industri, og ofte udfører de et dobbeltangreb. Først krypterer de data, så de ikke er tilgængelige. Hvis man så ikke betaler hurtigt nok, kommer de med de stjålne data - f.eks. persondata. Den forretningsmæssige effekt er ikke kun at lamme organisationen, men også at skade dens image."

Metode optrævling

Strukturen i et ransomware-angreb er ofte den samme. Efter at være kommet ind, som regel via et phishing-angreb, forbliver de tavse i et stykke tid, før de bevæger sig sidelæns. Ikke overraskende siger størstedelen (67%) af respondenterne i benchmark-undersøgelsen, at de ikke ved, hvor mange dage der går, før et angreb bliver bemærket. Det er i angribernes interesse at blive inde så længe som muligt for at stjæle så meget som muligt.

Når det først er afsløret, er det ofte tydeligt, hvilken "bande" man har med at gøre. Normalt har den kriminelle organisation en servicedesk (mærkeligt, men sandt!). Men det er ikke det eneste, der afslører ransomware-gruppens identitet. På verdensplan deles der viden og information om disse "bander", om de taktikker og teknikker, de bruger. Conscia tager også del i dette gennem MITRE ATT&CK-frameworket. Viden giver magt, og det sikrer, at angrebne organisationer kan gøre modstand, selv om de kriminelle allerede er inde. Selvom organisationer normalt ikke offentliggør, at de har betalt (af frygt for flere angreb og skade på omdømmet), kan det stadig hjælpe med at bekæmpe cyberkriminalitet at gøre det. Ifølge Werff er der bestemt tilfælde, hvor dette er blevet gjort. "Meget modigt og meget lærerigt for andre eksperter!"

Forsvar i dybden

100%-beskyttelse mod ransomware-relateret malware er ikke realistisk, og derfor anbefaler vi, at man anvender en "forsvar-i-dybden"-tilgang. Det betyder, at man anvender lagdelt sikkerhed fra forskellige vinkler; fra implementering af tekniske foranstaltninger til oprettelse af politikker og procedurer. Med denne tilgang har du større chancer for at opdage og stoppe malware, før den gør skade på din organisation.

Udgangspunktet i forsvar-i-dybden-tilgangen er "antag brud", hvor man antager, at enhver sikkerhedsmekanisme til sidst bliver brudt. Men i stedet for at kaste håndklædet i ringen, kan du tage skridt til at afbøde virkningen af dette ved at anvende stærk detektion, der giver dig mulighed for at fremskynde responstiden på hændelser. Men disse detektive og responsive foranstaltninger kræver viden, tid og ekspertise fra IT/Security-medarbejdere. Vi ser derfor, at mange organisationer (delvist) outsourcer disse detekterings- og responsaktiviteter til en managed security-udbyder. På den måde kan IT-sikkerhedsteamet fokusere på at styrke cyberrobustheden og sikre en bedre tilpasning til organisationens mål. Det er vigtigt at huske, at cybersikkerhed er en løbende proces, der konstant skal evalueres og tilpasses for at holde trit med det stadigt skiftende trusselsbillede.

Kilde: Conscia